Christmas Horror: 12306 User Data Leak? Um 10 Uhr morgens trat auf einer Sicherheitsplattform eine schwerwiegende Sicherheitslücke auf – die Datenbank mit 12306 Nutzern wurde kompromittiert. Um die Richtigkeit dieser Informationen zu überprüfen, hat unser Team eine Untersuchung des Vorfalls durchgeführt. Über einige Sozialarbeitsforen im Internet wurden tatsächlich Spuren gefunden, dass 12306 verschleppt wurde, und das folgende Bild ist ein Screenshot in einem Sozialarbeitsforum:
Und es kursiert schon seit einiger Zeit im Internet, und der früheste bekannte Zeitpunkt ist der 16. Dezember. Das untenstehende Bild zeigt die Diskussion aller über diese Zeit in einem Forum.
Über einige Kanäle fanden wir schließlich einige der vermuteten geleakten Daten, die hauptsächlich umfassen12306Eingeschriebene E-Mail, Passwort, Name, Ausweis, Handy. Die folgende Abbildung zeigt einige der geleakten Daten.
Es wurden einige Anmeldeversuche für das geleakte Konto unternommen, und es wurde in der vorherigen Datenbank gefunden10Alle Konten können eingeloggt werden. Man kann erkennen, dass der geleakte Passworttresor tatsächlich stimmt.
Derzeit kursieren zwei Versionen im Internet, nämlich 14M und 18G, die unter unterirdischen schwarzen Herstellern verbreitet wurden, und wir vermuten, dass es zwei Möglichkeiten für Passwortlecks gibt: Die eine ist, dass die 12306-Website in die Datenbank gezogen wurde, die andere ist, dass das Drittanbieter-Ticket-Save-Softwareunternehmen gehackt und die Datenbank getragen wurde. Da 12306 mit echtem Namen authentifiziert ist, enthält es viele wichtige Informationen, darunter Ausweise und Mobiltelefonnummern. Alter Artikel neuer Push: In wem ist dein Passwort? Vor ein paar Tagen wurden viele Freunde um mich herum ihre Passwörter gestohlen, und als sie gestohlen wurden, dann in Chargen, und viele verschiedene von sich selbst registrierte Website-Passwörter wurden gleichzeitig gestohlen.
Wie werden Passwörter von Hackern gestohlen? Erstens wird das Konto gestohlen, der erste Verdacht ist das Problem, dass der Computer von einem Trojanischen Pferd getroffen wurde; Hacker können Keylogging, Phishing und andere Methoden nutzen, um Passwörter zu stehlen, indem sie Trojanische Pferde in Personal Computer implantieren. Daher überprüfte der Autor die Computer mehrerer Freunde mit gestohlenen Passwörtern in seiner Nähe und fand keine trojanischen Pferde, und es war offensichtlich, dass ihre Konten durch trojanische Pferde gestohlen wurden. Da es kein Problem mit Ihrem eigenen Computer ist, ist es wahrscheinlich, dass die registrierte Website von jemandem "gezogen wurde, um in die Datenbank gezogen zu werden". Hier ist eine Erklärung der Drag-Datenbank: Die sogenannte "Drag-Bibliothek" bedeutet, dass die Benutzerdaten der Website durch SQL-Injektion oder andere Mittel gestohlen werden, und Benutzername und Passwort dieser Website erhalten werden, und viele bekannte Websites haben "Drag-Library"-Events veröffentlicht, wie CSDN, Tianya, Xiaomi usw.; Hacker tauschen die heruntergezogenen Datenbanken aus und zentralisieren sie und bilden so eine sogenannte "Sozialarbeitsbibliothek" nach der anderen, Die Sozialarbeiterdatenbank speichert viele Passwortinformationen von der "gezogenen" Website, daher suchte der Autor nach den Kontoinformationen eines Freundes auf einer von Hackern häufig genutzten Sozialarbeitsdatenbank und fand tatsächlich das geleakte Kontopasswort:
Wenn ich diese Bibliothek sehe, denke ich, sollte jeder verstehen, wessen Sozialarbeitsdatenbank das ist.
Hehe.
Aus dem Screenshot geht hervor, dass das Passwort des Freundes von 51CTO geleakt wurde und das Passwort mit MD5 verschlüsselt wurde, aber es ist nicht unmöglich, dieses Passwort zu lösen, und es gibt viele Webseiten im Internet, die den Originaltext von MD5 abfragen können, zum Beispiel durch die Suche nach Chiffretext auf CMD5 und schnell den Originaltext des Passworts entdecken:
Nach erfolgreicher Entschlüsselung melden Sie sich mit dem Passwort in das relevante Konto Ihres Freundes ein, und tatsächlich war der Login erfolgreich. Es scheint, dass die Art und Weise, wie das Passwort geleakt wurde, gefunden wurde. Nun stellt sich also die Frage: Wie haben Hacker mehrere Webseiten von Freunden gehackt? Schockierende unterirdische Datenbank Jetzt ist es an der Zeit, ein weiteres unserer Tools (www.reg007.com) zu opfern, denn viele Menschen haben die Angewohnheit, dieselbe E-Mail-Adresse zu verwenden, um viele Geschäfte zu registrieren, und über diese Website können Sie abfragen, welche Website mit einer bestimmten E-Mail-Adresse registriert wurde. Als ich diese Website zum ersten Mal sah, waren meine Freunde und ich schockiert. Folgendes ist die Situation beim Abfragen einer bestimmten E-Mail: Insgesamt wurden 21 registrierte Webseiten abgefragt:
Tatsächlich haben viele Freunde auch diese Angewohnheit, das heißt, um das Gedächtnis zu erleichtern, registrieren sie alle Website-Konten mit demselben Konto und Passwort, egal ob es sich um ein kleines Forum oder ein Einkaufszentrum mit Immobilien wie JD.com und Mall handelt. Diese Praxis ist sehr unsicher, und wenn eine der Seiten fällt, sind alle Konten gefährdet.Besonders nach dem CSDN-Datenbank-Leak im Jahr 2011 haben immer mehr Webseiten Datenbanken geleakt, und diese geleakten Datenbanken sind auf Webseiten nach Belieben zu finden. Du kannst darüber nachdenken: Wenn dein Passwort dasselbe ist, kannst du durch die oben genannten Schritte leicht erkennen, an welcher Universität du gegangen bist (Xuexin.com), welche Arbeit du gemacht hast (Future Care-free, Zhilian), was du gekauft hast (JD.com, Taobao), wen du kennst (Cloud-Adressbuch) und was du gesagt hast (QQ, WeChat).
Die untenstehende Abbildung zeigt einige der Datenbankinformationen der Sozialarbeit, die von einigen unterirdischen Webseiten ausgetauscht wurden
Was oben gesagt wurde, ist nicht alarmistisch, denn es gibt zu viele Webseiten, die in der Realität "Zugangsdaten verstoppen" können, und es gibt auch viele Beispiele für groß angelegte "Bankwäsche", "Credential Stuffing" und "Bank Swiping" in schwarzen Industrien. Hier eine Erklärung dieser Begriffe: Nachdem Hacker durch das "Ziehen der Bibliothek" eine große Menge Nutzerdaten erhalten haben, monetarisieren sie wertvolle Nutzerdaten durch eine Reihe technischer Mittel und die Black-Industry-Kette, die üblicherweise als "Datenbank-Washing" bezeichnet wird, und schließlich versucht der Hacker, sich mit den vom Hacker erhaltenen Daten auf anderen Webseiten einzuloggen, was als "Credential Stuffing" bezeichnet wird, da viele Nutzer gerne ein einheitliches Benutzername-Passwort verwenden und "Credential Stuffing" oft sehr lohnend ist. Wenn man auf der Schwachstellen-Einreichungsplattform "Dark Cloud" sucht, stellt man fest, dass viele Webseiten Schwachstellen im Bereich Credential-Stuffing haben, und gleichzeitig haben sich offensive und defensive Seiten wiederholt gegeneinander verteidigt, und die Angriffsmethode "Credential Stuffing" war im schwarzen Branchenkreis immer besonders beliebt wegen ihrer Eigenschaften wie "einfach", "grob" und "effektiv". Der Autor erlebte während des Projekts einmal einen groß angelegten Nachweis-Stuffing-Vorfall in einem bekannten Briefkasten in China, und im Folgenden sind einige Auszüge aus den damals ausgetauschten E-Mails aufgeführt:
Anomalieanalyse Von etwa 10 Uhr heute Morgen bis Ende 21:10 Uhr abends gibt es einen offensichtlichen abnormalen Login, der im Grunde als Hacking identifiziert wird. Hacker verwenden automatische Anmeldeprogramme, um innerhalb kurzer Zeit eine große Anzahl von Anmeldeanfragen von derselben IP zu starten, mit gleichzeitigen Anfragen und hoher Anfragefrequenz bis zu mehr als 600 Anmeldeanfragen pro Minute. Im Laufe des heutigen Tages gab es insgesamt 225.000 erfolgreiche Logins und 43.000 fehlgeschlagene Logins, wobei etwa 130.000 Konten (2 Logins pro Konto) betroffen waren; Der Hacker meldete sich von der Basisversion des WAP an, wechselte nach erfolgreichem Login zur Standardversion und schaltete die Anmeldebenachrichtigung in der Standardversion aus, wodurch eine Textnachrichtenerinnerung mit Änderungen an der mit dem Konto verknüpften Handynummer ausgelöst wurde. Laut der Loganalyse wurde nach der Änderung der Anmeldebenachrichtigung kein weiteres Verhalten festgestellt, und der Hacker hat nach dem Einloggen keine E-Mails verschickt. Die vorläufigen Analyseergebnisse sind wie folgt:
1. Der Hacker verwendet die Standard-Methode der Benutzernamen-Passwort-Authentifizierung zum Anmelden, und die Erfolgsquote der Authentifizierung ist sehr hoch. Bei der Abfrage der Protokolle der letzten Tage wurden keine Anmeldeversuche von diesen Nutzern gefunden. Das heißt, das Benutzerpasswort wird auf andere Weise erhalten, nicht durch Brute-Force-Knacken des Passworts des E-Mail-Systems; 2. Der Registrierungsort der von Hackern gestohlenen Nutzer befindet sich im ganzen Land, ohne offensichtliche Merkmale und ohne offensichtliche Merkmale der Registrierungszeit; 3. Einige Benutzernamen und Passwörter, die durch das Erfassen von Paketen abgefangen werden, zeigen, dass die Passwörter verschiedener Nutzer unterschiedlich sind, es keine Ähnlichkeit gibt und es sich nicht um einfache Passwörter handelt; Ich wählte einige Benutzerpasswörter aus und versuchte, mich bei 163 Mailbox, Dianping und anderen Websites anzumelden, und stellte fest, dass der Login erfolgreich war; 4. Es gibt viele Quellen für Hacker-Login-IP-Adressen, darunter Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huainan und andere Städte. Nachdem wir die abnormale Login-IP blockiert haben, können Hacker die Login-IP schnell ändern, wodurch unsere Blockierung schnell wirkungslos wird. Wir können nur den Hackern folgen, und entsprechend den Frequenzmerkmalen implementieren wir Blockierung erst, wenn eine bestimmte Zahl erreicht ist.5. Der vorherige Aktivitätsstatus des Nutzers wird erst morgen bestätigt. Aber anhand der aktuellen Situation ist meine persönliche vorläufige Vermutung, dass es aktive und inaktive Nutzer geben sollte, und die meisten davon sollten inaktive Nutzer sein.
Aus der obigen Analyse lässt sich im Grunde erkennen, dass Hacker bereits über Benutzernamen und Passwörter dieser Nutzer verfügen, und die meisten davon haben Recht. Passwörter können durch das Durchsickern verschiedener Netzwerkpasswortinformationen verursacht werden. Sicherheitshinweise Abschließend fragt der Autor: Möchtest du, dass dein Passwort in den Händen eines anderen ist, oder existiert es in der Datenbank eines anderen? Um das Passwort aller zu schützen, gibt dir der Autor hier einige Passwortvorschläge, 1. Ändern Sie regelmäßig Ihr Passwort; 2. Das Kontopasswort wichtiger Websites und das von nicht wichtigen Websites müssen getrennt werden, wie Tmall, JD.com usw.; es ist am besten, das Kontopasswort zu unterscheiden; 3. Das Passwort ist komplex, zum Beispiel mehr als 8 Ziffern, darunter Groß- und Kleinbuchstaben sowie spezielle Symbole; um das Gedächtnis zu erleichtern, können Sie spezielle kryptografische Software verwenden, um Ihr eigenes Passwort zu verwalten, das bekanntere ist keepass;Ich hoffe, dass durch die oben genannten Inhalte jeder ein besseres Verständnis für Passwortsicherheit erlangen kann, um seine persönliche Privatsphäre und die Sicherheit von Eigentum besser zu schützen.
|
Veröffentlicht am 30.12.2014 14:05:37
|
|
|
|
